Erstellen eines Image für persistente und nicht persistente Windows-Umgebungen

Gilt für: WatchGuard EPDR, WatchGuard EDR, WatchGuard EPP

Bevor Sie loslegen

Virtuelle Umgebungen sind komplex und vielfältig. Dieses Thema gibt schrittweise Anweisungen für die Installation von WatchGuard Endpoint Security in persistenten und nicht persistenten Virtual Desktop Infrastructure (VDI) Umgebungen. Aufgrund ihrer Charakteristiken erfordern virtuelle Computer oder Instanzen, dass ein spezifisches Verfahren befolgt wird, um sicherzustellen, dass die Images oder Vorlagen, die in virtuellen Umgebungen verwendet werden sollen, aktuell und optimiert sind und keine zuvor zugewiesene Maschinen-ID haben, damit sie in der Web UI unverwechselbar registriert sind, wenn ein virtueller Computer startet.

In Umgebungen mit sehr spezifischen Merkmalen kann es nötig sein, die vom Virtualisierungsanbieter bereitgestellten Empfehlungen zu befolgen, um die allgemeinen Anweisungen an Ihre Bedürfnisse anzupassen. Wenden Sie sich für eine individuelle Lösung an den WatchGuard Support.

Dieses Installationsverfahren erfordert, dass eine Vorlage (für persistente Umgebungen) oder ein Golden Image (für nicht persistente Umgebungen) vorbereitet wird, die/das später auf den virtuellen Computern im Netzwerk bereitgestellt wird. Es ist wichtig, dieses Verfahren genau zu befolgen, um:

  • Updates von Engine und Signaturdatei (Wissen) zu gewährleisten.
  • Ressourcen und Bandbreitenverbrauch in nicht persistenten Umgebungen zu optimieren.
  • Sicherzustellen, dass virtuelle Instanzen unverwechselbar identifiziert sind.

Vorbedingungen

  • In persistenten Umgebungen müssen Computer feste MAC-Adressen haben.
  • Der für die Generierung der Vorlage oder des Golden Image verwendete Computer muss eine Internetverbindung haben.

Kompatible Systeme

Im Allgemeinen ist dieses Verfahren für die folgenden Typen virtueller Maschinen geeignet:

  • VMware Workstation
  • VMware Server
  • VMware ESX
  • VMware ESXi
  • Citrix XenDesktop
  • XenApp
  • XenServer
  • MS Virtual Desktop
  • MS Virtual Servers

Installieren des Schutzes in persistenten Umgebungen

  1. Installieren oder aktualisieren Sie das Betriebssystem mit den Benutzeranwendungen.
  2. Erstellen Sie auf der Produkt-Konsole eine Gruppe, um die Vorlagen und die Gruppe Virtuelle Maschinen zu hosten.

  • Gruppe virtueller Maschinen
    • Wählen Sie auf der Registerkarte Einstellungen Computerspezifische Einstellungen und erstellen Sie ein Einstellungsprofil für zukünftige Updates des Image.
    • Stellen Sie sicher, dass automatische Updates der Schutz-Engine aktiviert sind.

  • Weisen Sie diese Einstellungen der Gruppe zu, die Sie für die Vorlage Virtuelle Maschinen-Gruppe erstellt haben.
  • Wählen Sie die Registerkarte Einstellungen und wählen Sie Workstations und Server im Abschnitt Sicherheit, um ein Einstellungsprofil für zukünftige Updates des Image zu erstellen.
  • Stellen Sie sicher, dass automatische Aktualisierungen des Wissens aktiviert sind:

  • Weisen Sie diese Einstellungen der Gruppe zu, die Sie für die Vorlage Virtuelle Maschinen-Gruppe erstellt haben.
  1. Installieren Sie den Agent und den Schutz:
    • Wählen Sie auf der Registerkarte Computer die Vorlagengruppe Virtuelle Maschinen Gruppe.
    • Klicken Sie auf Computer hinzufügen, um das Installationsprogramm herunterzuladen.

  • Installieren Sie den Agent auf der Vorlage und warten Sie, bis das Fortschrittsfenster abgeschlossen ist. Während dieser Zeit wird der Schutz automatisch installiert, konfiguriert und aktualisiert. Wenn die Installation abgeschlossen ist, wird der Computer auf der Liste geschützter Computer in der Web UI mit einem grünen Symbol angezeigt. Schutz und Wissen des Computers werden auf dem aktuellen Stand sein.
  1. Führen Sie das Endpoint Agent Tool (Passwort Panda) auf dem Computer mit der Vorlage aus.
    • Scannen Sie ihn mit dem Button Cache-Scan starten. Dies wird den Goodware-Cache füllen und den Schutz in einem passenden Zustand für virtuelle Images hinterlassen. Dieser Prozess kann je nach Inhalt der Festplatte etwas dauern. Sie werden benachrichtigt, wenn die Operation abgeschlossen ist.
    • Aktivieren Sie im Abschnitt Nicht-exklusive Ereignisse die Kontrollkästchen für Erkennungen, Zähler und Befehle prüfen. Klicken Sie auf Senden.
    • Entfernen Sie die Maschinen-ID. Geben Sie bei Bedarf das Anti-Manipulations-Passwort ein. Stellen Sie sicher, dass die Option Ist ein Golden Image nicht aktiviert ist und klicken Sie auf Image vorbereiten. Dies wird die Agent-ID von der Vorlage entfernen, so dass alle laufenden virtuellen Maschinen ihre ID erlangen, wenn sie das erste Mal ausgeführt und mit WatchGuard Endpoint Security verbunden werden.
      Screen shot of Endpoint Agent Tool dialog box, anti-tamper password

Dieser Schritt ist entscheidend, um sicherzustellen, dass alle virtuellen Maschinen im Web UI unverwechselbar identifiziert sind.

  1. Deaktivieren Sie den Endpoint Agent-Dienst, damit der Service nicht automatisch startet, wenn diese Vorlage auf virtuellen Instanzen verwendet wird. Der Dienst wird mit GPO-Regeln gestartet. Dies wird unten genauer erläutert.
  2. Greifen Sie auf das Tool zur Verwaltung virtueller Umgebungen zu und generieren Sie die Vorlage. Wenden Sie sich für weitere Informationen an Ihren Anbieter.

Als nächstes müssen Sie den Startup-Typ des Agent-Dienstes ändern. Dieser Dienst wurde im vorherigen Schritt deaktiviert. Verwenden Sie hierzu die Gruppenregel-Verwaltungskonsole auf einer physischen Maschine, die mit der Domäne verbunden ist. Wenden Sie sich für mehr Informationen zur Arbeit mit der Gruppenregel-Verwaltungskonsole an den Microsoft Support.

Um den Startuptyp des Endpoint Agent-Dienstes zu ändern, müssen Sie eine GPO erstellen. Gehen Sie hierzu in den GPO-Einstellungen zu Computerkonfiguration > Regeln > Windows-Einstellungen > Sicherheitseinstellungen > Systemdienste > Endpoint Agent. Ändern Sie die Einstellung zu Automatisch. Der Dienst wird beim nächsten Neustart automatisch starten und wird in der Konsole integriert.

Screen shot of the Group Policy Management Editor dialog box

Der Bildschirm Gruppenregel-Verwaltungseditor:

Screen shot of the New Group Policy Object page

Installieren des Schutzes in nicht persistenten VDI-Umgebungen

Das Verfahren zur Verwaltung nicht persistenter VDI-Umgebungen besteht aus drei Phasen.

Bevor Sie das Golden Image erstellen, müssen Sie die Maschine vorbereiten, von der es erstellt werden wird:

  1. Installieren oder aktualisieren Sie das Betriebssystem mit den Benutzeranwendungen.
  2. Erstellen Sie auf der Produktkonsole eine Gruppe, um das Golden Image Golden oder Vorlage-Image-Gruppe zu hosten und eine weitere, um die virtuellen Maschinen Virtuelle Maschinen-Gruppe zu hosten.
  • Golden oder Vorlagen-Image-Gruppe
    • Wählen Sie auf der Registerkarte Einstellungen Computerspezifische Einstellungen und erstellen Sie ein Einstellungsprofil für zukünftige Updates des Image.
    • Stellen Sie sicher, dass automatische Updates der Schutz-Engine aktiviert sind.
    • Wählen Sie die Option automatischer Neustart, um sicherzustellen, dass der Computer auf dem aktuellen Stand ist.

  • Weisen Sie diese Einstellungen der Gruppe zu, die Sie für die Golden Image-Gruppe Golden oder Vorlagen-Image erstellt haben.
  • Wählen Sie die Registerkarte Einstellungen und wählen Sie Workstations und Server im Abschnitt Sicherheit, um ein Einstellungsprofil für zukünftige Updates des Image zu erstellen.
  • Stellen Sie sicher, dass automatische Aktualisierungen des Wissens aktiviert sind.
  • Weisen Sie diese Einstellungen der Gruppe zu, die Sie für die Golden Image-Gruppe Golden oder Vorlagen-Image erstellt haben.
  • Virtuelle Maschinen-Gruppe. Virtuelle Instanzen basieren auf dem aktualisierten Golden Image. Um die VDI-Server-Ressourcen zu optimieren und Bandbreitennutzung zu verringern, deaktivieren Sie Updates, indem Sie die folgenden Schritte befolgen:
    • Erstellen Sie ein Computerspezifische Einstellungen-Profil, bei dem Updates deaktiviert sind, und weisen Sie es der Gruppe Virtuelle Maschinen zu.

  • Gehen Sie zu Workstations und Server im Abschnitt Sicherheit der Registerkarte Einstellungen, deaktivieren Sie Wissens-Updates und weisen Sie diese Einstellungen der Gruppe Virtuelle Maschinen zu.

  1. Installieren Sie den Agent und den Schutz auf der Gruppe Virtuelle Maschinen, um das Golden Image zu generieren.
    • Wählen Sie auf der Registerkarte Computer die Golden Image-Gruppe Virtuelle Maschinen und klicken Sie auf Computer hinzufügen, um das Installationsprogramm herunterzuladen.
    • Installieren Sie den Agent auf der Maschine, die für die Erstellung des Golden Image verwendet wurde, und warten Sie, bis das Fortschrittsfenster abgeschlossen ist. Während dieser Zeit wird der Schutz automatisch installiert und konfiguriert. Wenn die Installation abgeschlossen ist, wird der Computer auf der Liste geschützter Computer in der Web UI angezeigt.
  1. Verschieben Sie die Maschine mit dem Golden Image zu ihrer Gruppe Golden oder Vorlagen-Image, damit es die Einstellungen mit der Option, sie zu aktualisieren, erhält. Wir empfehlen Ihnen, mit der rechten Maustaste auf das WatchGuard-Symbol in der Systemablage der Anwendungsleiste zu klicken und eine Synchronisierung zu erzwingen. Dies wird die Einstellungen an den Computer senden, so dass er ein Update beginnen wird.
  1. Führen Sie das Endpoint Agent Tool auf dem Computer mit dem Golden Image aus.
    • Scannen Sie ihn mit dem Button Cache-Scan starten. Dies wird den Goodware-Cache füllen und den Schutz in einem passenden Zustand für virtuelle Images hinterlassen. Dieser Prozess kann je nach Inhalt der Festplatte etwas dauern. Sie werden benachrichtigt, wenn die Operation abgeschlossen ist.
    • Aktivieren Sie im Abschnitt Nicht-exklusive Ereignisse die Kontrollkästchen für Erkennungen, Zähler und Befehle prüfen. Klicken Sie auf Senden.
      Screen shot of Endpoint Agent Tool dialog box
    • Entfernen Sie die Maschinen-ID. Geben Sie bei Bedarf das Anti-Manipulations-Passwort ein. Stellen Sie sicher, dass die Option Ist ein Golden Image aktiviert ist und klicken Sie auf Image vorbereiten. Dies wird die Agent-ID von der Vorlage entfernen, so dass alle laufenden virtuellen Maschinen ihre ID erlangen, wenn sie das erste Mal ausgeführt und mit WatchGuard Endpoint Security verbunden werden.
      Screen shot of Endpoint Agent Tool dialog box, gold image

Dieser Schritt ist entscheidend, um sicherzustellen, dass alle virtuellen Maschinen im Web UI unverwechselbar identifiziert sind.

  1. Deaktivieren Sie den Endpoint Agent-Dienst, um zu verhindern, dass er automatisch startet, wenn das Golden Image auf virtuellen Instanzen verwendet wird. Der Dienst kann mittels GPO-Regeln gestartet werden, was im nächsten Abschnitt erklärt wird.
  2. Greifen Sie auf die VDI-Management-Tools zu und generieren Sie das Golden Image. Wenden Sie sich für weitere Informationen an Ihren Anbieter.
  3. Sie können im Abschnitt VDI-Umgebungen des Web UI die maximale Anzahl nicht persistenter Maschinen, die gleichzeitig aktiv sein können, konfigurieren. Dies erlaubt die automatische Verwaltung der von diesen Maschinen verwendeten Lizenzen.

Als nächstes müssen Sie den WatchGuard Agent-Dienst-Startup-Typ ändern. Dieser Dienst wurde im vorherigen Schritt deaktiviert. Verwenden Sie hierzu die Gruppenregel-Verwaltungskonsole auf einer physischen Maschine, die mit der Domäne verbunden ist. Wenden Sie sich für mehr Informationen zur Arbeit mit der Gruppenregel-Verwaltungskonsole an den Microsoft Support.

Um den Startuptyp des Endpoint Agent-Dienstes zu ändern, müssen Sie eine GPO erstellen. Gehen Sie hierzu in den GPO-Einstellungen zu Computerkonfiguration > Regeln > Windows-Einstellungen > Sicherheitseinstellungen > Systemdienste > Endpoint Agent. Ändern Sie die Einstellung zu Automatisch. Der Dienst wird beim nächsten Neustart automatisch starten und wird in der Konsole integriert.

Screen shot of the Group Policy Management Editor dialog box

Der Bildschirm Gruppenregel-Verwaltungseditor:

Screen shot of the New Group Policy Object page

Der Agent, der Schutz und die Signaturen des erstellten Golden Image müssen häufig, aber mindestens einmal pro Monat, aktualisiert werden. Diese Aktualisierungen sind unverzichtbar, um einen maximalen Schutz vor von Hackern entwickelten neuen Angriffstechniken zu gewährleisten.

Aktualisieren des Golden Image:

  1. Starten Sie die Maschine, auf der das Golden Image installiert ist.
  2. Verschieben Sie von der Web UI die Maschine mit dem Golden Image zur Gruppe Golden oder Vorlagen-Image, damit es die angemessenen Einstellungen mit automatischen Updates der Engine und des Wissens erhält.
  3. Klicken Sie mit der rechten Maustaste auf das WatchGuard-Symbol in der Systemablage der Anwendungsleiste, um eine Synchronisierung zu erzwingen. Dies wird die Maschine aktualisieren.
    • Updates werden still im Hintergrund durchgeführt. Wir empfehlen Ihnen, einige Minuten zu warten, um sicherzustellen, dass das Image richtig aktualisiert wurde.
    • Wenn eine neue Version des Schutzes verfügbar ist, wird ein Neustartfenster angezeigt und der Computer startet automatisch neu (wie in den Computerspezifischen Einstellungen) konfiguriert.

Wenn der Neustart abgeschlossen ist, empfehlen wir Ihnen, eine neue Synchronsierung zu erzwingen, um sicherzustellen, dass das Produkt vollständig aktualisiert ist.

  1. Führen Sie das Endpoint Agent Tool auf dem Computer mit dem Golden Image aus.
    • Scannen Sie ihn mit dem Button Cache-Scan starten. Dies wird den Goodware-Cache füllen und den Schutz in einem passenden Zustand für virtuelle Images hinterlassen. Dieser Prozess kann je nach Inhalt der Festplatte etwas dauern. Sie werden benachrichtigt, wenn die Operation abgeschlossen ist.
    • Aktivieren Sie im Abschnitt Nicht-exklusive Ereignisse die Kontrollkästchen für Erkennungen, Zähler und Befehle prüfen. Klicken Sie auf Senden.

      Screen shot of Endpoint Agent Tool dialog box
    • Entfernen Sie die Maschinen-ID. Geben Sie bei Bedarf das Anti-Manipulations-Passwort ein. Stellen Sie sicher, dass die Option Ist ein Golden Image aktiviert ist und klicken Sie auf Image vorbereiten. Dies wird die Agent-ID von der Vorlage entfernen, so dass alle laufenden virtuellen Maschinen ihre ID erlangen, wenn sie das erste Mal ausgeführt und mit WatchGuard Endpoint Security verbunden werden.
      Screen shot of Endpoint Agent Tool dialog box, gold image

Dieser Schritt ist entscheidend, um sicherzustellen, dass alle virtuellen Maschinen im Web UI unverwechselbar identifiziert sind.

Lizenzverwaltung

Nachdem Sie die Agent-ID gelöscht und die Option Ist ein Golden Image deaktiviert haben, berechnet das System, wenn eine neue Maschine gestartet wird, ihre Maschinen-ID und entscheidet anhand der ausgewählten Umgebung, ob der Computer ein neuer oder bestehender Computer ist.

Nicht persistente Umgebungen

wenn die maximale Zahl Maschinen, die für nicht persistente Images gleichzeitig aktiv sind, festgelegt ist, verwaltet der Server die Lizenzen automatisch, vorausgesetzt es gibt verfügbare Lizenzen und die Anzahl gleichzeitiger Maschinen wird nicht überschritten.

Persistente Umgebungen

wenn es mehrere Maschinen gibt, die nicht mehr verwendet werden, löschen Sie sie aus der Datenbank, um Lizenzen freizugeben, genau wie Sie es bei physischen Maschinen tun würden. Sie können alle Maschinen löschen oder eine einzelne Maschine zum Löschen auswählen.